Sicherheitslücken: Bankautomaten hacken mit Netzwerkkabel und Tastatur

26 Geldautomaten testete die Sicherheitsfirma Positive Technologies, bei allen fand sie Sicherheitsprobleme. Viele der Probleme sind lange bekannt, doch noch immer sind die Geräte unzureichend geschützt.

Artikel veröffentlicht am , Anna Biselli
Fast alle Geldautomaten haben Sicherheitsprobleme.
Fast alle Geldautomaten haben Sicherheitsprobleme. (Bild: Mirza Babic/Unsplash.com)

Die IT-Sicherheitsfirma Positive Technologies hat in einer ausführlichen Analyse 26 gängige Bankautomaten getestet und bei allen Automaten Schwachstellen gefunden. Die Sicherheitsforscher untersuchtem dabei verschiedene Angriffsmöglichkeiten, von der Netzwerkschnittstelle bis hin zur Verbindung von externen USB-Geräten.

Stellenmarkt
  1. Partner & Business Operations Manager (w/m/d) OZG-Umsetzung
    HanseVision GmbH, Hamburg
  2. Junior IT-Manager (m/w/d) Anwendungs-Support
    ABO Wind AG, Ingelheim am Rhein
Detailsuche

Sie haben dafür Bankautomaten der Firmen NCR, Diebold Nixdorf und GRGBanking untersucht und zunächst ihre Systemeigenschaften analysiert. Dabei stellten sie unter anderem fest, dass 15 der Gerätetypen immer noch auf Windows XP laufen, für das der Support bereits im Jahr 2014 eingestellt wurde.

Mit einer externen Tastatur und Alt+F4 Zugriff aufs Betriebssystem bekommen

Bei 76 Prozent der Geräte konnten Angreifer den Kiosk-Modus umgehen. In der Regel soll die einzige zugängliche Anwendung das Geldautomaten-Programm sein. Lässt das Gerät zu, dass diese beendet wird, können sich Angreifer Zugriff auf das darunterliegende Betriebssystem verschaffen und andere Prozesse starten. Dafür müssen sie physischen Zugriff auf die Peripherieschnittstellen haben, um beispielsweise eine Maus oder eine Tastatur anzuschließen. Oftmals verhindert die Automatensoftware nicht, dass gängige Tastenkombinationen wie Alt+F4 benutzt werden, um ein Programm zu schließen.

85 Prozent der Automaten waren verwundbar für netzwerkbasierte Angriffe. Diese können unter anderem darin bestehen, dass Angreifer sich zwischen den Automaten und das Processing Center auf dem Bank-Server schalten. So können sie etwa die Anzahl der Banknoten manipulieren, die der Automat ausgibt. Diese Verwundbarkeit besteht dann, wenn die Datenübertragung zwischen dem Automaten und der Bank nicht verschlüsselt ist, VPN-Verbindungen entweder nicht bestehen oder umgangen werden können und die Datenübertragungen nicht authentifiziert werden - und der Automat so die Quelle der Steuerungsanweisungen nicht überprüft.

Mit dem Netzwerkkabel die Kommunikation zwischen Bank und Automat manipulieren

Golem Akademie
  1. Scrum Product Owner: Vorbereitung auf den PSPO I (Scrum.org): virtueller Zwei-Tage-Workshop
    3.–4. März 2022, virtuell
  2. Netzwerktechnik Kompaktkurs: virtueller Fünf-Tage-Workshop
    14.–18. Februar 2022, virtuell
Weitere IT-Trainings

Netzwerkangriffe setzen voraus, dass Angreifer physischen Zugriff auf die Netzwerkschnittstelle des Automaten haben. Bei manchen Gerätetypen befindet sich diese innerhalb des Gerätes und der Automat müsste aufgebrochen werden. Bei anderen befand sich das Modem jedoch sogar außerhalb der Gehäuse, so dass der Zugriff leichtfällt.

Ein weiterer getesteter Angriffstyp sind die sogenannten Black-Box-Attacken, bei denen Zugriff auf die Schnittstelle von der Geldausgabe-Einheit zur Steuerungseinheit des Automaten notwendig ist. 69 Prozent der untersuchten Geräte waren hierfür anfällig. Die Forscher gaben an, dass ein solcher Angriff etwa zehn Minuten dauern würde.

Dafür könne man auch einen einfachen Raspberry Pi benutzen, der zwischen die beiden Gerätebestandteile geschaltet wird. Fehlen an dieser Stelle Verschlüsselungs- und Authentifizierungsmethoden, lassen sich auch in diesem Fall eigene Kommandos ausführen oder sogar manipulierte Firmware installieren.

Die meisten Verwundbarkeiten waren bereits bekannt

Die meisten der Verwundbarkeiten, die die Forscher fanden, waren bekannt und wurden bereits ausgenutzt. Im Jahr 2016 führte die IT-Sicherheitsfirma Kaspersky eine Analyse durch und fand heraus, dass beinahe jeder Geldautomat weltweit gekapert werden könne. Auf der US-Hacker-Konferenz Black Hat demonstrieren Sicherheitsexperten regelmäßig Angriffe auf diese Geräte, im Jahr 2017 hackten sie einen Automaten der Firma Diebold Nixdorf, der daraufhin Geld ausgab, bis er leer war.

Doch die Forscher fanden in diesem Jahr auch drei zuvor unbekannte Verwundbarkeiten im Sicherheitsmodul Safensoft Softcontrol. Sie konnten zunächst das Passwort im Klartext auslesen, mit dem das Modul konfiguriert werden konnte und es so ausschalten. Im zweiten Schritt konnten sie den Softwarebestandteil aushebeln, der die Integrität installierter Software prüft, und so in einem weiteren Schritt bei Updates beliebige Software auf den Automaten spielen.

Viele der Angriffe würde es bereits vereiteln, wenn der physische Zugang zu den Schnittstellen der Geräte erschwert würde. Im Vergleich zum Safe, der die Banknoten enthält, kann man auf die Kabel der Geräte vergleichsweise leicht zugreifen - etwa durch ein ins Gehäuse gebohrtes Loch. Als weitere Vorsichtsmaßnahme empfahl Leigh-Anne Galloway, Leiterin der Cybersicherheitsabteilung von Positive Technologies, Logging- und Monitoringmechanismen zu etablieren, um Angriffe schnell erkennen zu können und die Sicherheitslücken zu schließen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


natrius 28. Nov 2018

Ja, getestet, nein, funktioniert nicht.

FreiGeistler 21. Nov 2018

Och, das mit den Dieseln finde ich ganz in Ordnung. Insbesondere da Deutsche Fahrzeuge...

dummzeuch 21. Nov 2018

... kann es der Allgemeinheit doch egal sein. Wenn die Bank durch Sicherheitslücken am...

M.P. 20. Nov 2018

Die Anmutung erinnert schon ein wenig an "Rotlichtviertel" ...

Geddo2k 20. Nov 2018

Für die Allgemeinheit sind die Automaten sicher genug. Wenn man z.B. durch anbohren...



Aktuell auf der Startseite von Golem.de
Xbox Cloud Gaming
Wenn ich groß bin, möchte ich gerne Netflix werden

Call of Duty, Fallout oder Halo: Neue Spiele bequem am Business-Laptop via Stream zocken, klingt zu gut, um wahr zu sein. Ist auch nicht wahr.
Ein Erfahrungsbericht von Benjamin Sterbenz

Xbox Cloud Gaming: Wenn ich groß bin, möchte ich gerne Netflix werden
Artikel
  1. Lego Star Wars UCS AT-AT aufgebaut: Das ist kein Mond, das ist ein Lego-Modell
    Lego Star Wars UCS AT-AT aufgebaut
    "Das ist kein Mond, das ist ein Lego-Modell"

    Ganz wie der Imperator es wünscht: Der Lego UCS AT-AT ist riesig und imposant - und eines der besten Star-Wars-Modelle aus Klemmbausteinen.
    Ein Praxistest von Oliver Nickel

  2. Kryptowährung im Fall: Bitcoin legt rasante Talfahrt hin
    Kryptowährung im Fall
    Bitcoin legt rasante Talfahrt hin

    Am Samstag setzte sich der Absturz des Bitcoin fort. Ein Bitcoin ist nur noch 34.200 US-Dollar wert. Auch andere Kryptowährungen machen Verluste.

  3. Andromeda: Dieses Microsoft-Smartphone-Betriebssystem erschien nie
    Andromeda
    Dieses Microsoft-Smartphone-Betriebssystem erschien nie

    Erstmals ist ein Blick auf Andromeda möglich - das Smartphone-Betriebssystem, das Microsoft bereits vor einigen Jahren eingestellt hat.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MediaMarkt & Saturn: Heute alle Produkte versandkostenfrei • Corsair Vengeance RGB RT 16-GB-Kit DDR4-4000 114,90€ • Alternate (u.a. DeepCool AS500 Plus 61,89€) • Acer XV282K UHD/144 Hz 724,61€ • MindStar (u.a. be quiet! Pure Power 11 CM 600W 59€) • Sony-TVs heute im Angebot [Werbung]
    •  /